前往Shuct.Net首页

Shudepb PB反编译专家长时间以来,为业内同类软件事实上的唯一选择.细节,彰显专业.态度,决定品质.

关于shudepb的搜索

网上银行,你让我拿什么来信任你?_天涯杂谈_天涯论坛 论坛 博客 部落 问答 游戏厅 天涯客 读书 天涯秀场 品牌 应用 购物街 天涯商家 充值中心 社区商店 实物换礼 天涯活动 更多 含有?的内容>> 名为?的人>> 含有?的版块>> 去?的标签>> 手机 服务 聚焦 民生 人文 旅游 财经 汽车 IT数码 时尚 情感 娱乐 视频 体育 图片 新知 亲子 舆情 公益 星工场 传媒 换礼 更多 北京 上海 广东 [ 返回查看全部地区 ] 正在加载... 更多 天涯论坛 > 天涯杂谈 [我要发帖] 网上银行,你让我拿什么来信任你? 楼主:Kenshu 时间:2007-08-27 19:55:00 点击:1028 回复:14 字体: 边距: 背景: 还原: 举报 回复 收藏 更多 楼主 楼主 -->     有图,我不会贴    图片在这里,三个是一样的    http://shudepb.shuct.net/pb/BLACKBANK.asp  http://www.shudepb.com/pb/BLACKBANK.asp  http://www.pb13.com/pb/BLACKBANK.asp        我说4件事,证明至少有三个银行的网上银行是极不安全的.    1.某大银行,大半年前,我去申请网上银行,柜台工作人员告诉我不用办手续,用卡号和密码去他们网站登记就可以了,回来一试,果然可以.  意即,人家不需要你的物理上的卡就可以把你的钱转出去.传统的盗窃还需要在柜员机做手脚.  这个银行我不用说是哪个,大家看网上支付没人用的那个就是.      --------------------------------------------------------------------------------      2.广州某两个银行自己的宣传单张上,推荐的网上购彩网站上(这个网站同时也是某非常非常大的移动服务供应商的合作伙伴),输入身份证号码就可以取回密码,这个本来问题不大.    取回密码的网页上,跳到如图这个东西上面,大家看好了,这是一个局域网地址.连测都没人测过!!!!!!    没测过不说,我的密码和它的密码都写在上面(IE上查看源文件).    别说这是一个非安全的网页,互联网上,瞎子都看得到.就算是安全的,你随便输入一个身份证,都有机会看人家的密码.    大哥,这可是现金流动的账号啊.    别告诉我不关银行的事,他介绍一个贼(不一定是贼,但至少是没脑子的)给我,告诉我是一个信得过的好朋友(宣传单张可是以银行的名义印的啊),网站主办方是 某某市体育彩票管理中心,它没测,两大银行宣传它,没测,网络供应商帮他收钱,没测          --------------------------------------------------------------------------------      3.另外一间国有大银行,我转账买东西,转了几次,都没问题.    前几天有一次,想转到我自己的账号上,钱转不出去.提示我 "没有签约账号信息"(大意是这样的,过几天了,记不住),我当时打服务热线,我还没完整地告诉她我得到的信息(我虽然截了图准备告诉她,但打电话那会没打开那张图),她就告诉我知道了,点哪个哪个菜单,跟着又怎么怎么样,跟着按"获取子账号信息"就可以了.(我从来想不出那个按钮有什么用,现在才知道是程序有BUG时,用来同步的).至少是,这个BUG已经有大量的人发现(客服张口就知道怎么办).这个小事,钱转不出去而已.      今天,又是这间银行,我想跨行转账.31000,确认后,它告诉我,超出限额,转账失败.    失败就失败,回来首页一看,账号里少了两万.妈的,吓我一大跳.    查明细,分两笔(注意,是分两笔,一会后面用到),各10000转出去了.    我以为限额两万,不是很急,说老实话,又有USB-KEY,银行的网站我想也不会这么烂,多少信得过.    到中午,转入的另一个银行的账号没收到钱,我急了.    回来这间银行的网站上乱翻,发现那两笔钱转入我同行的证券卡账号上.MA了个BA的.我仔细想了一下,转账前我操作过证券卡账号,肯定是COOKIES出错.    钱没丢,心定下来,打电话去撩一下客服.不出所料,她说是我误操作.    可是,    第一,操作完全不同.  那个银行的网站上,    证券卡账号转入转出什么都不用,输金额就可以了.  跨行转帐,又要输对方帐号,对方名称,又要挑哪个银行的,再挑哪个省,再挑哪个市,再挑哪个分支行营业所.最后还要再三确认.    你不会连这两种操作都搞错,对吧.    第二,就算我完全是傻的,什么都不懂,转错了.大哥,你转丢了10000块,还要转多一次试试看会不会再丢多10000吗?(注意,是分两笔转出去的)        --------------------------------------------------------------------------------    硬件上多安全都没用,根本没人用心去做.        举报 回复 楼主:Kenshu 只看此人--> 时间:2007-08-27 19:57:28 楼主 -->   只是最后一次,我刚好只转入我自己的账号中,如果银行帮我转入别人的账号中呢?    又或是,我本来想转10000给人,它帮我转多两次呢?    我拿什么证明我没转两次啊? 举报 回复 楼主:Kenshu 只看此人--> 时间:2007-08-27 19:59:39 楼主 -->       这里面,我不把哪个银行的名称写出来,因为我没任何东西可以证明谁是谁.    说假话,今晚给雷劈死. 举报 回复 作者:谁都会有秘密47 只看此人--> 时间:2007-08-27 20:10:01   你开的户不知道么  是建设银行么 举报 回复 作者:echo014 只看此人--> 时间:2007-08-27 20:08:49   估计是国内垃圾软件公司做的垃圾东西,八成是买通了银行的高层,给了定单,但是技术太烂(银行这么大的事也不能烂成这样子啊),结果就这样了。    草,丢中国程序员的脸 举报 回复 楼主:Kenshu 只看此人--> 时间:2007-08-27 20:49:44 楼主 -->   第二个例子中,真正要找回密码的人,永远找不回密码.    因为发邮件的跳转永远跳不过去.    只有突发奇想的人才看得到. 举报 回复 作者:zhangmich 只看此人--> 时间:2007-08-27 20:53:11   搂住说的第一个银行的那个    是普通版的,不用注册    但是钱是不能转出的    只能自己用来购买基金之类的    并不能给别人钱    除非进行手机注册或者买uk    所以也没有那么不安全    我原来也以为是很不安全    后来才发现,因为不能转出,所以也没什么大问题 举报 回复 作者:wzxtcn 只看此人--> 时间:2007-08-27 21:04:03   如果没有办理密保卡之类的,网上银行只能查询 举报 回复 作者:kingfor 只看此人--> 时间:2007-08-27 21:05:20   我可以肯定是建设银行了  上周我下载数字证书的时候没有用USB-KEY,结果就保存在硬盘上了  当时系统还提示我选中“是否可以导出”  为了备份,我选择"是"  呵呵,结果转帐失败,打电话才知道,数字证书只能保存在USB-KEY上!  我下载的数字证书就此作废了  NND,这是第二次中招了!  最让我不明白的是,它的疑问解答中明白的告诉了我们数字证书的备份方法!  结果呢,数字证书只能保存在USB-KEY中,不能备份!  谁敢说这里面没有猫腻 举报 回复 楼主:Kenshu 只看此人--> 时间:2007-08-27 21:51:46 楼主 -->        作者:zhangmich 回复日期:2007-8-27 20:53:11      搂住说的第一个银行的那个        是普通版的,不用注册        但是钱是不能转出的        只能自己用来购买基金之类的        并不能给别人钱        除非进行手机注册或者买uk        所以也没有那么不安全        我原来也以为是很不安全        后来才发现,因为不能转出,所以也没什么大问题       作者:wzxtcn 回复日期:2007-8-27 21:04:03      如果没有办理密保卡之类的,网上银行只能查询    --------------------------------------------  我去办的时候(大半年还是差不多一年前),那个银行要本没有这种东西.(现在不知道有没有,但普遍收钱的人,好像都没见用那个银行收钱的) 举报 回复 作者:趴墙不等红杏 只看此人--> 时间:2007-08-27 21:54:19   好呀 举报 回复 楼主:Kenshu 只看此人--> 时间:2007-08-27 22:28:52 楼主 -->   作者:kingfor 回复日期:2007-8-27 21:05:20      我可以肯定是建设银行了    上周我下载数字证书的时候没有用USB-KEY,结果就保存在硬盘上了    当时系统还提示我选中“是否可以导出”    为了备份,我选择"是"    呵呵,结果转帐失败,打电话才知道,数字证书只能保存在USB-KEY上!    我下载的数字证书就此作废了    NND,这是第二次中招了!    最让我不明白的是,它的疑问解答中明白的告诉了我们数字证书的备份方法!    结果呢,数字证书只能保存在USB-KEY中,不能备份!    谁敢说这里面没有猫腻  --------------------------------------------------    我是楼主    其实我是程序员.我虽然不是专门做这个事的程序员,并且水平肯定远低于那帮骗钱的垃圾,但道理是懂的.      我们之所以认为USB-KEY是安全的,因为    1.它不能复制(硬件保证,只能验到确实是你,无法把里面的东西复制出来).当然,前提是,颁发证书给你的人是安全并且可信任的,它不会把证书颁发第二个人.你也不会把证书复制给第二个人(硬件保证).    2.无法伪造.现有数学理论认为,全世界所有的计算机加起来,在一个足够短的时间内(比如100万年),无法算出一个和你一模一样的东西.    说就一两句话,实现起来相当复杂,    几个简单的:    比如,颁发给你的过程中是安全的,  比如,它的副本不会被第二者复制(道理上,证书颁发者也不能使用它),  又比如,两个人都持有一个独一无二的证书,声称他是你,也就是kingfor (两个不相同,一个是悟空,一个是六耳猴),谁做公证哪个是真的.  再比如,签名是有时间效应的,你早上10:00:00说转10000给我,你只说一次,但银行说你签了两次名(他说你10:00:01又说了一次),但其实你总共说了一次,银行硬当你说两次怎么办.    还有其它许许多多的东西,但,数学上认为,它最终是可以保证的.      --------------------------------------------------    这事有一个关键,存在一个中立的第三方(他不但技术过硬,保证得到所有证书的安全,而且道德上完美无缺),你和银行都信任他,并且承认他说的话,出现抵赖时,同意以他说的话为准.    则上面所有问题可以解决,一个可能比较难理解的是,时间戳.其实很好办,你说完一句话,你用你的证书签名,道德上的神加他自己的时间,再签他的名.它保证,同一句话,在不同时间说,出来的结果是不一样的,则不会你说转10000给我,银行帮你转100次.    --------------------------------------------------    这场交易中,没有第三方的存在,银行兼任了武功高强的大侠.因为我们别无他选,并且相信银行不会为了一点小钱而犯规.同时相信他能保证安全(传统上,我们一直相信他).      但,现在,我们认为,  1.他的技术不行.(至少是其中一个银行)  2.他的道德不行,至少是玩忽职守.(至少其中两个,推荐的购彩网网站,连最简单的测试都没做过,就帮人家拍胸脯) 举报 回复 楼主:Kenshu 只看此人--> 时间:2007-10-20 23:40:29 楼主 -->   看到有人说网银,UP一下.  http://cache.tianya.cn/publicforum/content/free/1/958542.shtml 举报 回复 作者:demi777 只看此人--> 时间:2007-10-21 12:37:17   第三个估计是建行    建行的技术水平确实很烂,数字证书发现不安全了,赶快推出u key,技术不过关,测试又不完全,没几天发现第一版的u key也有问题了,赶快推出第二版u key,让用户掏钱再买一次    到第二版的u key还是有个很严重的问题,只要第一次用 u key转帐成功,如果IE不全部关闭的话,即使拔下u key,也一样可以转帐,如此这般的话根本不能保证资金安全    我用建行的网银,设了不可导出数字证书也一样被盗,现在对建行智能用五体投地深深的佩服来形容,建行可能是中国最nb的银行 举报 回复 楼主:Kenshu 只看此人--> 时间:2007-10-21 16:13:56 楼主 -->   我是楼主.    为什么每个人都看得出第3个是哪个银行啊?难道那个银行真的不可救药了. 作者: 请遵守天涯社区公约言论规则,不得违反国家法律法规同时转发到微博 关于天涯 | 广告服务 | 开放平台 | 天涯客服 | 隐私和版权 | 联系我们 | 加入天涯 | 手机版 | 举报投诉 © 1999 - 2014 天涯社区